بدءًا من الأول من أكتوبر، سيتعين على حسابات WordPress.org التي يمكنها دفع التحديثات والتغييرات إلى المكونات الإضافية والمظاهر تنشيط المصادقة الثنائية (2FA) على حساباتها.
ويعد القرار جزءًا من جهود فريق مراجعة المكونات الإضافية للمنصة لتقليل مخاطر الوصول غير المصرح به، والذي قد يؤدي إلى هجمات على سلسلة التوريد.
“يمكن للحسابات التي تتمتع بإمكانية الوصول إلى الالتزام دفع التحديثات والتغييرات إلى المكونات الإضافية والموضوعات التي يستخدمها ملايين مواقع WordPress في جميع أنحاء العالم،””https://make.wordpress.org/plugins/2024/09/04/upcoming-security-changes-for-plugin-and-theme-authors-on-wordpress-org/” الهدف=”_blank” rel=”nofollow noopener”>يقرأ الإعلان.
“يعد تأمين هذه الحسابات أمرًا ضروريًا لمنع الوصول غير المصرح به والحفاظ على أمان مجتمع WordPress.org وثقته.”
WordPress هو نظام إدارة محتوى (CMS) مفتوح المصدر، وأداة مدونة، ومنصة نشر تساعد المستخدمين على إنشاء مواقع الويب وإدارتها.
يمكن للمستخدمين الوصول إلى مجموعة واسعة من السمات والمكونات الإضافية المجانية والمدفوعة التي تسمح بتخصيص المظهر وتوسيع وظائف مواقع الويب الخاصة بهم.
قد يقوم أحد الجهات الخبيثة التي تقوم باختطاف حساب الناشر بتغيير الكود في أحد السمات أو المكونات الإضافية لتضمين ثغرات أمنية أو أبواب خلفية تسمح بالوصول المتميز إلى مواقع الويب التي تستخدمها.
كلمات مرور 2FA وSVN
لمنع مثل هذه المخاطر، يجب تفعيل ميزة أمان المصادقة الثنائية في الأول من أكتوبر للحسابات التي لديها حق الوصول إلى منصة WordPress.org. يمكن لمسؤولي الحسابات تمكين الإعداد من قائمة الأمان الخاصة بحساباتهم. فيما يلي تعليمات خطوة بخطوة حول كيفية تنشيط المصادقة الثنائية”https://make.wordpress.org/meta/handbook/tutorials-guides/configuring-two-factor-authentication/” الهدف=”_blank” rel=”nofollow noopener”>متوفر هنا.
بالإضافة إلى ذلك، أضافت WordPress.org كلمات مرور خاصة بـ SVN والتي تفصل الوصول إلى إجراء تغييرات على التعليمات البرمجية عن بيانات اعتماد الحساب الرئيسي.
سيحتاج مؤلفو المكونات الإضافية الذين يستخدمون نصوص النشر مثل GitHub Actions إلى تحديث نصوصهم لاستخدام كلمات المرور الجديدة الخاصة بـ SVN.”https://make.wordpress.org/meta/handbook/tutorials-guides/svn-access/” الهدف=”_blank” rel=”nofollow noopener”>راجع هذه الصفحة للحصول على مزيد من المعلومات حول الوصول إلى Subversion (SVN).
يلاحظ الفريق أن القيود الفنية تمنع تطبيق 2FA على مستودعات التعليمات البرمجية الموجودة واختار الجمع “account-level two-factor authentication, high-entropy SVN passwords, and other deploy-time security features.”